Ryzyko, że komputer podłączony do Internetu zostanie zainfekowany złośliwym oprogramowaniem, nigdy nie zostanie zmniejszone do zera. To tylko rodzaj oprogramowania, w którym występują błędy. Tam, gdzie występują błędy w projektowaniu oprogramowania, są ludzie, którzy wykorzystają te błędy na swoją korzyść.

Najlepsi użytkownicy komputerów mogą mieć nadzieję, że zminimalizują ryzyko infekcji i złagodzenia szkód, które może wyrządzić kawałek złośliwego oprogramowania - czy ma zamiar ukraść poufne dane użytkownika, czy też przejąć kontrolę nad maszyną w ramach cyberataku na serwery tysiące kilometrów stąd.

W zeszłym tygodniu internauci zostali złapani w krzyżowy atak online. Z jednej strony byli spamerzy i inne nikczemne typy, którzy wysyłają złośliwe oprogramowanie za pośrednictwem poczty e-mail. Z drugiej strony była organizacja spamująca Spamhaus. Jak doniosł Don Reisinger w ubiegłą środę, kilka europejskich stron doświadczyło poważnych spowolnień w wyniku ataku, który mógł również obejmować gangi przestępcze w Rosji i Europie Wschodniej.

W zeszły piątek Declan McCullagh wyjaśnił, że technologia pokonania takich ataków jest znana od ponad dekady, chociaż wdrożenie technologii w Internecie jest trudne i, praktycznie rzecz biorąc, może być niemożliwe.

Więc gdzie to pozostawia przeciętnego, codziennego użytkownika Internetu? Nasza zdolność do powstrzymania naszych maszyn przed przejęciem przez złośliwe oprogramowanie będzie zawsze ograniczona naszą wrodzoną podatnością. Po prostu jest zbyt prawdopodobne, że wpadniemy w otwieranie pliku lub strony internetowej, której nie powinniśmy.

Stawki infekcji komputerów PC utrzymują się na stałym poziomie pomimo rozpowszechnienia darmowego oprogramowania antywirusowego. Nawet najlepsze programy zabezpieczające nie zauważają złośliwego oprogramowania, jak wskazują wyniki testów według AV Comparatives (PDF). Na przykład w testach przeprowadzonych w sierpniu 2011 r. Program Microsoft Security Essentials został oceniony jako Zaawansowany (drugi najwyższy poziom punktacji) z wykrywalnością wynoszącą 92, 1 procent i "bardzo nielicznymi" fałszywymi pozytywnymi wynikami.

Ponieważ nigdy nie wyeliminujemy infekcji komputerowych, najlepsza obrona przed botnetami nie jest u źródła, ale raczej w miejscu wejścia do sieci dostawcy usług internetowych. W lipcu zeszłego roku Internet Engineering Task Force opublikował szkic zaleceń dotyczących naprawy botów w sieciach ISP, który wskazuje wyzwania związane z wykrywaniem i usuwaniem botów.

Niestety, wykrywanie i usuwanie botnetów nie jest dużo łatwiejsze dla dostawców usług internetowych. Gdy dostawcy usług internetowych skanują komputery swoich klientów, komputer może uznać skanowanie za atak i wygenerować alert zabezpieczeń. Wiele osób niepokoi się konsekwencjami prywatności dostawców usług internetowych skanujących zawartość komputerów swoich klientów. Istnieje też podstawowa niechęć dostawców usług internetowych do udostępniania danych i wspólnej pracy.

Większość zalecanych przez IETF środków zaradczych sprowadza się do informowania użytkowników o konieczności skanowania ich komputerów w poszukiwaniu infekcji i usuwania tych, których odkrywają. Podczas gdy większość infekcji wirusowych ujawnia swoją obecność, spowalniając system i powodując problemy, ukryta natura wielu botów oznacza, że ​​użytkownicy mogą wcale nie być tego świadomi. Jeśli bot nie jest przeznaczony do kradzieży danych użytkownika, a jedynie do udziału w ataku DDoS, użytkownicy nie muszą wykrywać i usuwać bota.

Jednym z sugestii raportu IETF jest to, że dostawcy usług internetowych dzielą się "selektywnymi" danymi z osobami trzecimi, w tym z konkurentami, w celu ułatwienia analizy ruchu. W marcu zeszłego roku Rada ds. Bezpieczeństwa Łączności, Niezawodności i Interoperacyjności wydała swój dobrowolny kodeks postępowania przeciwko botowi dla dostawców usług internetowych (PDF). Oprócz bycia dobrowolnymi, trzy z czterech zaleceń w "ABC dla dostawców usług internetowych" opierają się na użytkownikach końcowych:

Kształcić użytkowników końcowych zagrożenia stwarzanego przez boty i działań, które użytkownicy końcowi mogą podjąć, aby pomóc w zapobieganiu infekcjom bota;

Wykrywać działania botów lub uzyskiwać informacje od wiarygodnych użytkowników na temat infekcji bota wśród ich użytkowników końcowych;

Powiadomić użytkowników końcowych o podejrzanych infekcjach bota lub pomóc użytkownikom końcowym w określeniu, czy są potencjalnie zainfekowani przez boty; i

Dostarczanie informacji i zasobów, bezpośrednio lub poprzez odniesienie do innych źródeł, użytkownikom końcowym, aby pomóc im w zaradzeniu infekcjom bota.

Artykuł zatytułowany "Modelowanie polityki internetowej dotyczącej usuwania złośliwego oprogramowania" (PDF) autorstwa Stephena Hofmeyra z Lawrence Berkeley National Laboratory i innych sugeruje, że posiadanie dużych ISP pracujących razem nad analizą ruchu w punktach wejścia do ich sieci jest bardziej skuteczne niż wykrywanie botów na komputerach użytkowników końcowych.

Ale to nie od razu nas odstrasza. Jeśli każdy komputer z systemem Windows będzie skanowany pod kątem złośliwego oprogramowania raz w miesiącu, dostępnych będzie znacznie mniej botów do następnego ataku DDoS. Ponieważ czytelnicy CNET wydają się być bardziej doświadczeni niż przeciętni, proponuję program komputerowy: każdy skanuje dwa lub trzy komputery, które, jak podejrzewają, nie są regularnie utrzymywane przez ich właścicieli (takich jak krewni) na zasadzie pro bono.

Oto trzy kroki, które możesz wykonać, aby zminimalizować możliwość, że komputer z systemem Windows zostanie wcielony do armii botnetów.

Nie używaj konta administratora Windows

Zdecydowana większość złośliwego oprogramowania atakuje systemy Windows. W dużej mierze wynika to po prostu z liczb: jest o wiele więcej instalacji systemu Windows niż jakikolwiek inny system operacyjny, który wykorzystujący system Windows maksymalizuje skuteczność szkodliwego oprogramowania.

Wiele osób nie ma innego wyboru, niż korzystać z systemu Windows, najprawdopodobniej dlatego, że wymaga tego ich pracodawca. Dla wielu innych używanie systemu operacyjnego innego niż Windows jest niepraktyczne. Ale bardzo niewiele osób musi codziennie korzystać z konta administratora Windows. W ciągu ostatnich dwóch lat korzystałem tylko ze standardowego konta Windows na moim codziennym komputerze, z jednym lub dwoma wyjątkami.

W rzeczywistości często zapominam, że konto nie ma uprawnień administratora, dopóki instalacja lub aktualizacja oprogramowania nie wymaga podania hasła administratora. Korzystanie ze standardowego konta nie powoduje, że komputer jest odporny na złośliwe oprogramowanie, ale z pewnością zwiększa poziom ochrony.

Ustaw oprogramowanie, aby aktualizować się automatycznie

Nie tak dawno temu eksperci doradzali użytkownikom komputerów PC, aby czekali dzień lub dwa przed zastosowaniem łatek dla Windows, odtwarzaczy multimedialnych i innych aplikacji, aby upewnić się, że łatki nie spowodowały więcej problemów, niż im zapobiegły. Ryzyko związane z niezałatanym oprogramowaniem jest znacznie większe niż jakiekolwiek potencjalne problemy wynikające z aktualizacji.

W maju 2011 roku porównałem trzy bezpłatne skanery, które wykrywają nieaktualne, niepewne oprogramowanie. Moją ulubioną z tych trzech osób była funkcja TechTracker w CNET ze względu na jej prostotę, ale teraz polegam na osobistym inspektorze Secunia, który śledzi twoje poprzednie aktualizacje i zapewnia ogólny wynik systemu.

Domyślnym ustawieniem w witrynie Windows Update jest automatyczne pobieranie i instalowanie aktualizacji. Ponadto domyślnie wybrane są opcje otrzymywania zalecanych aktualizacji oraz tych oznaczonych jako ważne oraz automatycznego aktualizowania innych produktów Microsoft.

Użyj drugiego programu antywirusowego do przeskanowania systemu

Ponieważ żaden program zabezpieczający nie wykrywa każdego potencjalnego zagrożenia, sensowne jest zainstalowanie drugiego skanera złośliwego oprogramowania do sporadycznego ręcznego skanowania systemu. Moje dwa ulubione ręczne programy do skanowania antywirusowego to Malwarebytes Anti-Malware i Microsoft Malicious Software Removal Tool, które są bezpłatne.

Nie byłem szczególnie zaskoczony, gdy Malwarebytes znalazł trzy wystąpienia wirusa PUP.FaceThemes w kluczach rejestru mojego codziennego komputera z Windows 7 (pokazanego poniżej), ale nie spodziewałem się, że program wykryje cztery różne wirusy w starych folderach systemu Windows na system testowy z domyślną konfiguracją systemu Windows 7 Pro (jak pokazano na ekranie u góry tego wpisu).

Nieoczekiwaną korzyścią z usuwania złośliwego oprogramowania było skrócenie czasu rozruchu maszyny z systemem Windows 7 z ponad dwóch minut do nieco ponad minuty.

Pomoc dla operatorów witryn, którzy są atakowani

Ataki DDoS są motywowane głównie zyskami finansowymi, takimi jak incydent z grudnia ubiegłego roku, który opróżnił konto internetowe Banku Zachodu w wysokości 900 000 USD, jak podał Brian Krebs. Ataki mogą być również próbą zemsty, co wielu analityków uważa za zamieszane w zeszłym tygodniu atak DDoS przeciwko Spamhausowi.

Powiązane historie

• Dongle żartuje, a tweet prowadzi do ostrzału, gróźb, ataków DDoS
• Czy cyberprzestępczość naprawdę spowolniła Internet?
• Anonimowy apeluje do nas, aby ataki DDoS były legalnymi protestami

Rząd Iranu został oskarżony o niedawną serię ataków DDoS przeciwko bankom amerykańskim, jak podał New York Times w styczniu zeszłego roku. Coraz częściej botnety są kierowane przez działaczy politycznych przeciwko ich opozycji, takich jak fala ataków hakerskich na banki, o których informowała Tracy Kitten na stronie BankInfoSecurity.com.

Podczas gdy duże witryny, takie jak Google i Microsoft, mają zasoby do absorbowania ataków DDoS bez żadnych utrudnień, niezależni operatorzy witryn są znacznie bardziej bezbronni. The Electronic Frontier Foundation oferuje przewodnik dla małych właścicieli witryn, który pomaga im radzić sobie z atakami DDoS i innymi zagrożeniami. Program Keep Your Alive na żywo obejmuje aspekty, które należy rozważyć przy wyborze hosta WWW, alternatywnych kopii zapasowych i dublowania witryn.

Rosnący wpływ ataków DDoS jest jednym z tematów raportu Global Threat Intelligence 2013 wydanego przez firmę ochroniarską Solutionary. Pobieranie raportu wymaga rejestracji, ale jeśli się spieszysz, Bill Brenner oferuje streszczenie raportu na blogu Solone Hash CSO.

Jak donosi Brenner, dwa trendy zidentyfikowane przez firmę Solutionary sprawiają, że złośliwe oprogramowanie jest coraz lepsze w unikaniu wykrywania, a Java jest ulubionym celem zestawów exploitów wykorzystujących złośliwe oprogramowanie, zastępując pliki Adobe PDF na szczycie listy.

Zagrożenie serwera DNS za atakami DDoS

Wrodzona otwartość Internetu umożliwia ataki DDoS. Dostawca oprogramowania DNS, firma JH Software, wyjaśnia, w jaki sposób ustawienie rekurencji DNS pozwala na zalew żądań botnetu, aby zasypać serwer DNS. Patrick Lynch z CloudShield Technologies przygląda się problemowi "otwartych rozwiązujących" z punktu widzenia przedsiębiorstwa i dostawcy usług internetowych.

Paul Vixie przygląda się niebezpieczeństwom blokowania DNS w witrynie Internet Systems Consortium. Vixie przeciwstawia się blokowaniu za pomocą propozycji Bezpiecznego DNS w celu udowodnienia autentyczności lub nieautentyczności witryny.

Wreszcie, jeśli masz dwie i pół godziny na zabicie, obejrzyj interesującą dyskusję panelową, która odbyła się w Nowym Jorku w grudniu zeszłego roku pod tytułem "Mitigowanie ataków DDoS: najlepsze praktyki dla rozwijającego się zagrożenia". Moderatorem panelu był CEO Public Interest Rejestru Brian Cute, a także menedżerowie z Verisign, Google i Symantec.

Zaskoczył mnie jeden powracający temat wśród uczestników panelu: musimy edukować użytkowników końcowych, ale to naprawdę nie ich wina, a także nie do końca ich problem. Dla mnie brzmiało to bardziej niż trochę jak dostawcy usług internetowych przekazujących pieniądze.